Abo
  • Services:

Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Artikel veröffentlicht am ,

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.



Meistgelesen

Anzeige
Blu-ray-Angebote
  1. 7,99€ inkl. FSK-18-Versand
  2. 4,25€
  3. (nur für Prime-Mitglieder)

M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

sdfsd 01. Nov 2005

Perl, Python oder Pike. Das Problem an PHP ist das die Firma (Zend) nur Geld verdienen...


Folgen Sie uns
       


Golem.de spielt die Battlefield 5 Closed Alpha

Zwölf Stunden haben wir in der Closed Alpha des kommenden Shooters im Zweiten Weltkrieg Battlefield 5 verbracht - Zeit für eine erste Analyse der Änderungen.

Golem.de spielt die Battlefield 5 Closed Alpha Video aufrufen
Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Samsung Flip im Test: Brainstorming mit Essstäbchen und nebenbei Powerpoint
Samsung Flip im Test
Brainstorming mit Essstäbchen und nebenbei Powerpoint

Ob mit dem Finger, dem Holzstift oder Essstäbchen: Vor dem Smartboard Samsung Flip sammeln sich in unserem Test schnell viele Mitarbeiter und schreiben darauf. Nebenbei läuft Microsoft Office auf einem drahtlos verbundenen Notebook. Manche Vorteile gehen jedoch auf Kosten der Bedienbarkeit.
Ein Test von Oliver Nickel

  1. Indien Samsung eröffnet weltgrößte Smartphone-Fabrik
  2. Foundry Samsung aktualisiert Node-Roadmap bis 3 nm
  3. Bug Samsungs Messenger-App verschickt ungewollt Fotos

    •  /